msconfig/taakbeheer/regedit disabled - Privacy en beveiliging

zondag 2 juli 2006 16:20

Acties:

Topicstarter

Ik had dus per ongeluk een verkeerd bestand gedownload, geinstalleerd, dom. Ineens pop-ups enzo, kon taakbeheer niet meer gebruiken, systeemherstel onbereikbaar, kan niet meer zoeken in windows, uitvoeren ook niet meer. Kan bij internet opties startpagina ook niet meer veranderen.

Dus das aardig klote.

hier is een link naar het bestand==> via torrent website gedownload:

Modbreak:knip.

Heb hitman eroverheen gegooid, spyware doctor, hijack this. Geen pop-ups meer, maar heb nu nog wel steeds al die beperkingen in windows. Ben gewoon nog de admin van de computer. Via opdrachtprompt zoeken naar run.exe en msconfig.exe werkt ook niet meer, hij kan de bestanden niet vinden.

Hijackthis log heb ik niet meer, heb ik 2 keer uitgevoerd, en de 2e keer zijn log over de eerste gesaved.
Dit zijn de files die ik verwijderd heb:
O4 HKLM\..\Run: [rmalt] C:/program files/adobes/windows genuine advantagefor windows xp remover.exe
O2 BHO.... cramtoolbar
O23 webcam corp. Service starter - unknown owner c:/program files/webcam/webcam123/dogsvc.exe (file missing)
R3 URLsearchhook : (no name)- - (no file)

Heb wel de nieuwe log:

code:

Logfile of HijackThis v1.99.1
Scan saved at 15:56:31, on 2-7-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hitman Pro\srhelper.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Frank\Bureaublad\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PRTG 4 Service - Paessler Router Traffic Grapher (PRTG4Service) - Unknown owner - C:\Program Files\PRTG Traffic Grapher 4\prtg4.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

Weten jullie hoe ik die dingen weer terug kan krijgen?

[ Voor 2% gewijzigd door F_J_K op 02-07-2006 16:48 ]

zondag 2 juli 2006 16:25

Acties:

Boegie

We besiemelen mekoar

code:

1	O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Deze lijkt me de boosdoener

zondag 2 juli 2006 16:35

Acties:

Vercetti

Topicstarter

Bedankt voor de snelle reply,

Taakbeheer en regedit doen het weer, heb adaware nog een keer laten draaien, en had ie nog iets gevonden. Uitvoeren/zoeken doen het nog steeds niet, alsmede msconfig via de opdrachtprompt.

[ Voor 9% gewijzigd door Vercetti op 02-07-2006 16:37 . Reden: incompleet ]

zondag 2 juli 2006 16:53

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Linken naar malware lijkt me op die manier een beetje uit vragen om nog meer slachtoffers. Dus ik heb de link weggeknipt.
Overigens weet je nu tenminste dat je voortaan niet zomaar warez/cracks/etc moet vertrouwen

Heb hitman eroverheen gegooid, spyware doctor, hijack this.

Ik mis een fatsoenlijke virusscanner

Koop+installeer+update er anders een voordat je weer online gaat

Overigens mogen overigens ook de overige genoemde policies waarschijnlijk wel weg. Afhankelijk van de inhoud en je eigen bedoelingen natuurlijk.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 2 juli 2006 17:00

Acties:

Vercetti

Topicstarter

Oke, sorry voor die link.

Maar weten jullie misschien hoe ik run.exe, search etc. weer aan de praat krijg.

Overigens mogen overigens ook de overige genoemde policies waarschijnlijk wel weg. Afhankelijk van de inhoud en je eigen bedoelingen natuurlijk.

?

zondag 2 juli 2006 17:59

Acties:

Martijnc

code:

1
2
3

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Dit zijn policies, die zijn waarschijnlijk ingesteld door de malware, dus mogen die weg tenzij jij of een andere administator die heeft ingesteld.
Spybot stelt soms ook policies in.

Krijg je een fout als je die probeerd te starten of dun ze helemaal niets?

zondag 2 juli 2006 19:37

Acties:

Vercetti

Topicstarter

Via de opdrachtprompt geeft ie aan dattie de bestanden niet kan vinden, dus run.exe bijvoorbeeld. In start-menu staan ze uiteraard ook niet.